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Beschreibung 

Verfahren zur Steuerung und Auswertung eines Nachrichtenver- 
kehrs einer Kommunikationseinheit durch eine erste Netzwerk- 
einheit innerhalb eines Mobilfunksys terns, dazugehorige Kommu- 
nikationseinheit und erste Netzwerkeinheit 

Der Erfindung liegt die Aufgabe zugrunde, die Steuerung und 
Auswertung des Nachrichtenverkehrs einer Kommunikationsein- 
heit durch eine erste Netzwerkeinheit innerhalb eines Mobil- 
funksystems in einfacher und effizienter Weise bereitzustel- 
len. Diese Aufgabe wird durch folgendes erf indungsgemaBe Ver- 
fahren gelost: 

Verfahren zur Steuerung und Auswertung eines Nachrichtenver- 
kehrs einer Kommunikationseinheit durch eine erste Netzwerk- 
einheit innerhalb eines Mobilf unksystems, indem alle Nach- 
richten des Nachrichtenverkehrs uber die erste Netzwerkein- 
heit geschickt werden, indem durch die erste Netzwerkeinheit 
mit Hilfe einer oder mehrerer Nutzungsinf orma:tionen der Kom- 
munikationseinheit KE entschieden wird, ob eine oder mehrere 
Nachrichten an eine zweite Netzwerkeinheit zur Weiterbearbei- 
tung weitergeleitet oder abgeblockt werden, -und indem durch 
die erste Netzwerkeinheit mit Hilfe einer oder mehrerer Nut- 
zungsinf ormationen der Kommunikationseinheit entschieden 
wird, ob- die jeweilige Nachricht "des Nachrichtenverkehrs 
durch die erste Netzwerkeinheit in einer Protokolldatei pro- 
tokolliert wird, 

Durch das erf indungsgemaBe Verfahren wird in vorteilhaf ter 
Weise der Nachrichtenverkehr einer Kommunikationseinheit ge- 
steuert und ausgewertet, Unter Zuhilfenahme von einer oder 
mehreren Nutzungsinf ormationen der jeweiligen Kommunikations 
einheit konnen fur verschiedene Kommunikationseinheiten un- 
terschiedliche und individuelle Entscheidungsregeln zur Steu 
erung und Auswertung herangezogen werden. 
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Des Weiteren wird durch das erf indungsgemaiie Verfahren in 
vorteilhafter Weise die Protokollierung des Nachrichtenver- 
kehrs einer Applikation der jeweiligen Komaunikationseinheit 
ermoglicht. Da die Protokollierung auf Applikationsebene 
durchgefuhrt wird, kann die Protokollierung von deia in den 
einzelnen Nachrichten enthaltenen Inhalt, also den Nachrich- 
tendaten, abhangig gemacht warden. So kann bei der Protokol- 
lierung die Dateniaenge von Nachrichten mit laultimedialem In- 
halt, wie z.B. Videosequenzen oder Sprachauf zeichnungen, als 
kostenpflichtiges Datenvolumen registriert werden, und Nach- 
richten mit Steuerinformationen von der Protokollierung aus- 
geschlossen werden. 

Die Erfindung betrifft weiterhin auch eine erste Netzwerkein- 
heit zur Steuerung und • AuswertUng eines Nachrichtenverkehrs 
einer Kommuriikationseinheit. innerhalb eines Mobilfunksys terns, 
mit einer :Empfangsei^heit>- kittels der aile- Nachrichten des ' 
Nachrichtenverkehrs def Koinmuhlkationseinheit empfangbar 
sind, mit einer Sendeeinheit, luittels der alle Nachrichten 
des Nachrichtenverkehrs absendbar sind, und mit einer Verar- 
beitungseinheit, mittels der entscheidbar ist, ob mindestens 
eine Nachricht des Nachrichtenverkehrs aufgrund einer oder 
mehrerer Nutzungsinf ormationen der Kommunikationseinheit an 
eine zweite Netzwerkeinheit zur Weiterbearbeitung weiterge- 
leitet Oder abgeblockt wird, und mittels der entscheidbar 
ist, ob mindestens eine Nachricht des Nachrichtenverkehrs 
aufgrund einer oder mehrerer Nutzungsinf ormationen der Kommu- 
nikationseinheit durch die erste Netzwerkeinheit in einer 
Protokolldatei protokolliert wird. 

Die Erfindung betrifft auch eine Koirimunikationseinheit bei 
der durch eine erste Netzwerkeinheit der Nachrichtenverkehr 
innerhalb eines Mobilfunksys terns gesteuert und ausgewertet 
wird, mit einer Empfangseinheit, mittels der alle Nachrichten 
des Nachrichtenverkehrs empfangbar sind, und mit einer Sende- 
einheit, mittels der alle Nachrichten des Nachrichtenverkehrs 
absendbar sind. 





2004P01470DE 



Sonstige Weiterbildungen der Erfindung sind in den Unteran- 
sprtichen wiedergegeben . 

5 Die Erfindung und ihre Weiterbildungen werden nachfolgend an- 
hand von Zeichnungen naher erlautert. 

Es zeigen: 

10 Figur 1 in schematischer Darstellung eine Anordnung zur 

Steuerung und Auswertung eines Nachrichtenverkehrs 
einer Koiniaunikationseinheit durch. eine Netzwerkein- 
heit/ die sich aus einer Gruppe von Netzwerkelemen- 
ten zusammensetzt, innerhalb eines Mobilfunksys terns 
15 . ■ ^ nach einer ersten Variante des erf indungsgemSBen 
' Verf ahrens sowie zugehorige Modif ikationen, 

Figur 2 ein Ablauf diagrainm eines luoglichen Nachrichtenver- 
kehrs fxir ein Anwendungsbeispiel nach Figur 1, 

20 

Figur 3 in schematischer Darstellung ein m5glicher Aufbau 

einer abgerufenen Nutzungsinformation mit zwei Nut- 
zeridentitaten, 

Figur 4 in schematischer Darstellung eine Anordnung zur 

Steuerung und Auswertung eines Nachrichtenverkehrs 
einer Komiuunikationseinheit durch eine Netzwerkein- 
heit, die sich aus einer Gruppe von Netzwerkelemen- 
ten zusammensetzt, innerhalb eines Mobilf unksys- 
30 terns, unter Verwendung des IMS-Standards nach einer 

weiteren Variante des erf indungsgemaBen Verf ahrens, 
sowie zugehOrige Modif ikationen. 



Figur 5 

35 



ein Ablaufdiagramm eines moglichen Nachrichtenver- 
kehrs ftir ein Anwendungsbeispiel nach Figur 4, 
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Figur 6 eine mogliche Erganzung des Ablauf diagramms ftir ein 
Anwendungsbeispiel nach Figur 5^ und 

„ Figur 7 ein mogliches Ablauf diagramm eines Nachrichtenver- 
5 kehrs ftir ein weiteres Anwendungsbeispiel ^ bei dem 

Nachrichten mit SIP-Signalisierung und Nachrichten 
mit Nutzdaten^ zwischen Kommunikationseinheit und 
Netzwerkeinheit, assoziiert werden. 

10 1. Erstes Ausfiihrungsbeisplel 
1.1 Vorrichtung 

In Figur 1 1st eine erste mogliche Vorrichtung zur Ausftihrun 
des erf indungsgemaJien Verfahrens dargestellt. Figur 1 zeigt 
eine .vereinf achte Darstellung einer mdglichen Netzwerkarchi- 

15 tektuir.. In ,der. Mitte von Figur I befindet sich ein Heiiunetz- 
■ werk.,HN (HN - Home Network) einer Koitimunikationseinhe^it. KE, 
: .die^ sich in Figur 1 . in eijaem besuchten Netzwerk vVN .(VN Vi- 

.sit^d Network) aufhalt, Dieser Fall ist im Allgemeinen auch 
/ als "Roaming" bekannt. Das Heirtinetzwerk HN und das besuchte 

20 Netzwerk VN befinden sich in einem Mobilf unksystem MS. Die 

Kommunikationseinheit KE ist beispielsweise in einem Funkge- 
rat nach GSM-Standard (GSM - Global System for Mobile) oder 
UMTS-Standard (UMTS - Universal Mobile Telecommunications 
System) untergebracht . Diese Kommunikationseinheit KE erlaubt 

25 das Senden von Nachrichten mittels seiner Sendeeinheit SEl 
als auch das Empfangen von Nachrichten mittels seiner Emp- 
fangseinheit EEl . Des Weiteren verftigt die Kommunikationsein- 
heit KE tiber eine Verarbeitungseinheit VEl, die das Ausfuhren 
z.B. einer Applikation AP zulasst. Diese Applikation AP ist 

30 insbesondere eine Brows er-Anwendung oder eine Push-to-Talk 

Anwendung. Die Empf angseinheit EEl, die Sendeeinheit SEl und 
die Verarbeitungseinheit VEl sind mittels eines Verbindungs- 
netzwerkes XNl verbunden und damit in der Lage, Informationen 
auszutauschen. 



35 





Die Kornmunikationseinheit KE ist im besuchten Netzwerk VN mit 
einem ersten Netzwerkelement NWl tiber eine -erste Verbindung 
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VI verbunden. Dieses erste Netzwerkelement NWl ist insbeson- 
dere ein GGSN (GGSN - Gateway GPRS Support Node) (GPRS - Ge- 
neral Packet Radio System) . Diese erste Verbindung VI wird 
mit Hilf e der Prozedur mit einem Namen PDF Context Activation 
Procedure (PDP - Packet Data Protocol) aufgebaut, wie sie in 
3GPP (3GPP - 3rd Generation Partnership Project) TS 23.0 60 
Version 5.3.0 "General Packet Radio Service GPRS", Stage 2 
beschrieben ist. wahrend des Aufbaus dieser ersten Verbindung 
VI wird festgelegt, dass diese erste Verbindung VI lediglich 
far den Austausch von Nachrichten, wie z.B. Nachrichten mit 
Nutzdaten ND, zwischen der Kommunikationseinheit KE und dem 
ersten Netzwerkelement NWl verwendet werden darf . Als Nutzda- 
ten ND sind vorzugsweise Daten, wie z.B. ein Bild oder eine 
Sprachaufzeichung, jedoch keine Signalisierungsinf ormationen 
zu verstehen. Alle Nachrichten mit Nutzdaten ND, die auf die- ■' 
ser ersten Verbindung VI gesendet werden, werden automatischy 
von -dem ersten Netzwerkelement NWl uber eine zweite Verbin-.' 
dung V2 an ein. zweites Netzwerkelement NW2 weitergeleitet . 
Das zweite Netzwerkelement NW2 ist vorzugsweise ein Daten- 
Gateway . 

Das zweite Netzwerkelement NW2 hat zum einen eine vierte Ver- 
bindung V4 in ein 5f f entliches , paket-orientiertes Netzwerk 
PN (PN - Public Network), wie beispielsweise dem Internet. 
Das Sffentliche, paket-orientierte Netzwerk PN umfasst bei- 
spielsweise eine zweite Netzeinheit NE2, wie z.B. einen Ser- 
ver mit Videosequenzen. Zum anderen existiert auch eine drit- 
te verbindung V3 zu einem dritten Netzwerkelement NW3, wel- 
ches sich im Heimnetzwerk HN der Kommunikationseinheit KE be- 
findet. Das dritte Netzwerkelement NWS ist vorzugsweise ein 
Daten-Gateway . 

Weiterhin ist das dritte Netzwerkelement NW3 mit einer Daten- 
bank HSS, vorzugsweise einem Home Subscriber Service, iiber 
eine ftlnfte Verbindung V5 vernetzt. Diese Datenbank HSS bein- 
haltet nutzerbezogene Inf ormationen der Kommunikationseinheit 
KE. AuBerdem ist das dritte Netzwerkelement NW3 iiber eine 
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sechste Verbindung V6 mit dem of f entlichen, paket-orientier- 
ten Netzwerk PN verbunden. Zusatzlich kann das zweite Netz- 
werkelement NW2 im besuchten Netzwerk VN direkt mit der Da~ 
tenbank HSS verbunden sein. Dies ist in Figur 1 mit einer ge- 
5 strichelten siebten Verbindung V7 aLn-ged-^-utet . 

' Eine erste Netzwerkeinheit NEl kann aus mehreren Netzwerkele- 
menten NEE bestehen. In Figur 1 umfasst das erste Netzwerk- 
element NEl das erste, zweite und dritte Netzwerkelement NWl, 

10 NW2, NW3. Fiir den Fall, dass sich die Kommunikationseinheit 
KE in ihrem Heimnetzwerk HN befindet^ kann das zweite und 
dritte Netzwerkelement NW2 bzw. NW3 in einem einzigen Netz- 
. werkelement untergebracht sein, das die Funktionalitaten des 
zweiten und dritten Netzwerkelements NW2 bzw. NWS abdeckt. 

15 '>Die erste Netwerkeinheit NEl umfasst eine Sendeeinheit SE2 

zum Obermitteln von Nachrichten und eine Empf angseiiiheit '!EE2" 
zum Entgegdiinehmen von Nachrichten". Daneberi beinhaltet "sie 
eine Verarbeitungseinheit VE2 zur Steuerung und Auswertuiig 
eines Datenverkehrs der Applikation AP der Kommunikationsein- 

20 heit KE. Die Sendeeinheit SE2, die Emp fangs einhe it EE2 und 
die Verarbeitungseinheit VE2 konnen mittels eines Verbin- 
dungsnetzwerkes XN2 Inf ormationen austauschen. In Figur 1 
enthalt jedes Netzwerkelement NEE jeweils eine eigene Sende- 
einheit, eine eigene Empf angseinheit, eine eigene Verarbei- 

25 tungseinheit und ein eigenes Verbindungsnetzwerk. Exempla- 
risch ist in Figur 1 fur das zweite Netzwerkelement NW2 die 
Sendeeinheit SE2, die Empf angseinheit EE2, die Verarbeitungs-- 
einheit VE2 und das Verbindungsnetzwerk XN2 abgebildet. 

30 1 , 2 Anf ragenachricht 

Mit Hilfe von Figur 1 wird im Folgenden die Authentif izierung 
einer Kommunikationseinheit nS.her erlautert. Diese Authentic 
fizierung ist notwendig, damit das zweite Netzwerkelement NW2 
feststellen kann, ob eine Kommunikationseinheit tatsachlich 

35' die ist, fiir die sie sich ausgibt und ob diese Kommunikati- 
onseinheit berechtigt ist, Nachrichten tiber das zweite Netz- 
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werkelement NW2 mit dem of f entlichen, paket-orientierten 
Netzwerk PN auszutauschen . 

In Figur 2 wird ein Ablauf diagramm eines moglichen Nachrich- 
tenverkehrs dargestellt, der fur die-Authentif izierung not- 
wendig ist. Insbesondere wird hierbei auf die Problematik des 
Nachrichtenaustauschs zwischen der Kommunikationseinheit KE 
und dem of f entlichen, paket-orientierten Netzwerk PN einge- 
gangen . 

Wenn die Koinmunikationseinheit KE Nachrichten, zum Beispiel 
Nachrichten mit Nutzdaten ND, vom of f entlichen, paket- 
orientierten Netzwerk PN anfordert^r oder Nachrichten an die- 
ses versenden mochte, schickt die Koiniuunikationseinheit KE 
■eine Anf ragenachricht AIST an das zweite Netzwerkelement NW2 . 
Ftir den Fall, dass das HTTP-Proto.koll (HTTP - .Hyper Text 
Transfer Protocol) verwendet wird, handelt es ' sich bei dieser 
Anf ragenachricht AN um einen HTTP-Request. In-dieser Anfrage- 
nachricht AN ist eine Empf angeradresse EA enthalten, "von- der 
Nutzdaten ND angefordert und/oder geschickt werden. Die 5^mp- 
fangeradresse EA kann in Form einer URI (URI - Unique Resour- 
ce Indentifier) gestaltet sein, Zur Authentif izierung der 
Kommunikationseinheit KE kann ein Mechanismus nach IETF (IETF 
- International Engineering Task Force) RFC (RFC - Request 
-For. Comments) 3310 ."Hyper Text Transfer Protocol (HTTP) • Di- 
gest .Authentif ication Using Authentif ication And Key Agree- 
ment (AKA)", siehe www.ietf.org, verwendet werden. Dazu wird 
in die Anf ragenachricht AN eine Inf ormationszeile mit einem 
Namen "Authorization" eingefugt. Diese umfasst unter anderem 
auch Informationen tiber eine Nutzeridentitat NID. 

1.3 Nutzeridentitat 

Eine Nutzeridentitat NID stellt eine eindeutige Kennzeichnung 
einer bestimmten Kommunikationseinheit, z.B. der Kommunikati- 
onseinheit KE, dar. Aufgrund der Inf ormationszeile mit dieser 
Nutzidentitat NID kann das zweite Netzwerkelement NW2 in ei- 
nem ersten Entscheidungsschritt Al feststellen, zu welchem 
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Netzwerk, z.B. dem Heiimetzwerk HN, die Kommunikationseinheit 
KE gehort. AuBerdeia wird f estgestellt, ob das zweite Netz- 
werkelement NW2 bereits eine oder mehrere Authentif izierung- 
sinformationen fur die anfragende Kommunikationseinheit KE 
gespeichert hat. Da das zweite Netzwerkelement NW2 noch tlber 
keine derartigen Authentif izierungsinformationen verftigt, 
leitet daher das zweite Netzwerkelement NW2 die Anfragenach- 
richt AN an die dritte Netzwerkeinheit NW3 weiter. Es wird 
davon ausgegangen, dass die dritte Verbindung V3 gesichert 
ist und kein Dritter die MSglichkeit hat, Nachrichten abzu- 
fangen, zu verandern oder zu lesen. 

1 . 4 Nut zunqs information 

Im folgenden Schritt erfragt das dritte Netzwerkelement NW3 
mit einer dritten Nachricht' N3;- die die Nutzeridentitat NI^D 
umfasst, bei der Datenbank ' HSS vorzugsweise folgende Nut- 
zungsinformationen NI ftlir die Koitaaunikationseinheit KE ab: 
.- Einoder mehr6re zweite Schl^tissel SP2, die zu Authentifi- 
zierung und Verschltisselung von Nachrichten ftir die Kommu- 
nikationseinheit KE von dem zweiten Netzwerkelement NW2 be 
nutzt werden sollen; 

- Eine Herausforderung HEF, die zur Authentif izierung durch 
die Kommunikationseinheit KE benutzt werden soli, siehe 
beispielsweise IETF RFC 3310; 

- Eine oder mehrere Filteranweisungen FW. 
Im Folgenden wird angenommen, dass lediglich ein zweiter 
Schltissel SP2 von der Datenbank DB abgefragt wird. 

1 . 5 Filteranweisung 

Diese Filteranweisungen FW umfassen insbesondere eine oder 

mehrere der folgenden Kriterien: 

Eine Oder mehrere positive Empfangeradressen PEA, die von 
der Kommunikationseinheit KE adressierbar sind; 
Eine oder mehrere negative Empfangeradressen NEA, die von 
der Kommunikationseinheit KE nicht adressierbar sind; 
- Eine Oder mehrere zu protokollierende Empfangeradressen 
XEA, die von der ersten Netzwerkeinheit NEl protokolliert 
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werden sollen. In Figur 1 wird die Protokollierung durch 
das zweite Netzwerkelement NW2 durchgefuhrt . 

Mit Hilfe dieser Filteranweisungen FW wird es dem zweiten 
Netzwerkelement NW2 ermbglicht, den Zugang der Koitimunikati- 
onseinheit KE auf eine oder mehrere bestimmte Empf angerdres- 
sen EA im Of f entlichen, paket-orientierten Netzwerk PN zu be- 
schranken. ZusStzlich kOnnen diese Filteranweisungen FW auch 
dazu verwendet werden, dem zweiten Netzwerkelement NW2 mitzu- 
teilen, Zugriffe auf bestimmte Empf angerdressen EA separat 
von anderen Zugriffen zu erfassen. Da einer Kommunikations- 
einheit KE mehrere Nutzeridentitaten NID zugeordnet sein k6n- 
nen, kSnnen eine oder mehrere Filteranweisungen FW explizit 
einer bestimmten Nutzeridentitat NID zugeordnet werden. So 
ist zweckmaBigerweise jeweils eine Nutzeridentitat 'NID je- 
weils -einer Applikatioii AP zugeordnet. ■ . - 

Mit. Hilfe einer vierten Nachricht N4 werden diese ■ Nut zungsin- 
formationen NI von der Datenbank HSS an das dritte Netzw^erk- 
element NW3 ilbertragen. Das dritte Netzwerkelement NW3 '^endet 
im Folgenden diese Nutzungsinf ormationen NI in einer ftlnften 
Nachricht N5 an das zweite Netzwerkelement NW2. Far den ;!Fall, 
dass dafar das HTTP-Protokoll verwendet wird, wird diejenige 
Nutzungsinformation NI, die zur Herausforderung HEF der Kom- 
munikationseinheit KE bestimmt ist, in eine Informations zeile 
mit einem Namen "WWW-Authenticate" eingefagt, siehe IETF RFC 
3310 und IETF RFC 2617 "HTTP Authentif ication: Basic and Di- 
gest Access Authentif ication" . In analoger Weise werden alle 
zweiten Schltissel, die zur Verschltisselung, zur Authentifi- 
zierung und zur Sicherung der Integritat benotigt werden, be- 
handelt. Zusatzlich kann in dieser funften Nachricht N5 eine 
zu erwartende Antwort AEH auf die Herausforderung HEF enthal- 
ten sein. Dies ermoglicht dem zweiten Netzwerkelement NW2, 
eine von der Koinmunikationseinheit KE aufgrund der Herausfor- 
derung HEF gesendeten Antwort AGH bezuglich ihrer Richtigkeit 
mit der erwarteten Antwort AEH zu prufen. In diesem Fall ist 
.die Weiterleitung dieser Antwort AGH an das dritte Netzwerk- 
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element NW3 zur Uberpriifung der Echtheit nicht mehr notwen- 
. dig. 

Eine Oder mehrere Filteranweisungen" FW-KQnnen in einem neuen 
Typ von NachrichtenkSrper in dieser ftinften Nachricht N5, die 
beispielsweise unter Verwendung des HTTP-Protokolls in Form 
einer HTTP-Nachricht gebildet wird, enthalten sein. Dieser 
neue Typ von NachrichtenkSrper ist tlber eine eindeutige Be- 
schreibung identif izierbar . Dies ist in der Praxis zweckma- 
i3xg, da diese eindeutige Beschreibung in der eigentlichen 
HTTP-Nachricht in einer Informations zeile mit einem Namen 
"Content-Type" enthalten ist, die beispielsweise nach dem , 
Standard IETF RFC 2045 "Multipurpose Internet Mail Extensions 
(MIME) Part One: Format of Internet Message Bodies" gebildet 
■■ wifd.-Dadurch wird es dem z we i ten Netzwerkelement NW2 ermog- 
■iicht, ledigllch anhand dieser eindeutigen Beschreibung den 
Inhalt der HTTP-Nachriclit festzustelTen; -.beisplel^ ob ! ■ 

Filteranweisungen FW darin enthalten sind. ., •• 

Figur 3 zeigt beispielhaft die Struktur mehrerer Filteranwei- 
sungen FW, die in einem Nachrichtenkorper NK enthalten sind. 
Dieser Nachrichtenk5rper NK umfasst jeweils zwei Listen Lll, 
L12 bzw. L21, L2-2 fur jede Nutzeridentitat NIDI bzw. NID2 . ' 
Die jeweilige erste Liste Lll bzw. L21 der jeweiligen Nutzer- 
identitat NIDI bzw. NID2 umfasst eine Liste von zu protokol- ' 
lierenden Empf angeradressen XEA. Die jeweilige zweite Liste 
L12 bzw. L22 der jeweiligen Nutzeridentitat NIDI bzw. NID2 
gibt eine oder mehrere negative Empf angeradressen NEA an, die 
von der Kommunikationseinheit KE nicht adressierbar sind 
und/oder eine oder mehrere positive Empf angeradressen PEA, 
die von der Kommunikationseinheit KE adressierbar sind. 

Nach Empfang der ftinften Nachricht N5 entnimmt das zweite 
Netzwerkelement NW2 in einem zweiten Schritt A2 den zweiten 
Schltissel SP2 aus der Informations zeile mit einem Namen "www- 
Authenticate". Anhand der Informationszeile mit einem Namen 
"Content-Type" erkennt das- zweite Netzwerkelement NW2, dass 
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im Nachrichtenkorper NK eine oder mehrere Filteranweisungen 
FW enthalten sind, und entniinmt dies ebenf alls . AnschlieBend 
tibermittelt das zweite Netzwerkelement NW2 diese modif izierte 
funfte Nachricht N5 als sechste Nachricht N6 an die Koinmuni- 
5 kationseinheit KE • Die Kommunikationseinheit KE entniinmt im 
Folgenden die Herausf orderung HEF aus der Informations zeile 
mit einem Namen "WWW-Authenticate" . Mit Hilfe einer oder meh- 
rerer, auf einer SIM-Karte (SIM - Subscriber Identication Mo- 
dule) der Kommunikationseinheit KE gespeicherten Informatio- 
10 nen, wird nun ein passender erster Schlussel SPl berechnet, 
^ der fur die Verschltisselung der Nachrichten zwischen der Kom- 
■ munikationseinheit KE und dem zweiten Netzwerkelement NW2 so- 
^ wie fur die Authentif izierung und Sicherung der Integritat, 

verwendet werden kann. Der erste Schltissel SPl und der dazu- 
15 gehorige zweite Schlussel SP2 bilden ein zusammengehoriges 

Schltisselpaar SCP- AuBerdem berechnet die Kommunikationsein- 
heit KE mit Hilfe des ersten Schlussels SPl /die i^twort' AGH 
auf die Herausf orderung- HEF. 

20 1.6 Modif izierte Anf ragenachricht 

In einem nachsten Schritt schickt die Kommunikationseinheit 
KE eine modifizierte Anf ragenachricht AMM an das zweite Netz- 
werkelement NW2 . Fur den Fall;, dass fur die modifizierte An- 

^ f ragenachricht ANM die HTTP-Syntax verwendet wird, entspricht 
diese modifizierte Anf ragenachricht ANM einem HTTP-Request. 

^ Diese modifizierte Anf ragenachricht ANM umfasst sowohl die 
Empf angeradresse EA, von der der Kommunikationseinheit KE 
Nutzdaten ND zugesandt werden sollen, als auch eine Informa- 
tionszeile mit einem Namen "Authorization". Diese Informati- 

30 onszeile ehthalt neben der Nut zeridentitat NID auch die Ant- 
wort AGH auf die Herausf orderung HEF. 

Nach Empfang der modif iziert en Anf ragenachricht ANM Uberpruft 
das zweite Netzwerkelement NW2 in einem dritten Entschei- 
35 dungsschritt A3 anhand der in der Inf ormationszeile mit einem 
Namen "Authorization" enthaltenen Nutzeridentitat NID, ob das 
zweite Netzwerkelement NW2 bereits Authentif izierungsinforma- 
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tionen ftir diese Kommunikationseinheit KE gespeichert hat. 
Dies ist nun nach Durchlaufen der vorherigen Schritte dieses 
Ausftlhrungsbeispiels gegeben. Daher entniinmt das zweite Netz 
werkelement NW2 der modif izierten Aaf ragenachricht ANM die 
Informationszeile mit einem Namen "Authorization". Mit Hilfe 
der im zweiten Netzwerkelement NW2 gespeicherten zweiten 
Schliissel SP2 wird in einem nachsten Schritt die Richtigkeit 
der Antwort AGH auf die Herausf orderung HEF iiberpruft. Falls 
die ubermittelte Antwort AGH nicht korrekt ist, wird die mo- 
difizierte Anf ragenachricht ANM mittels einer zehnten Nach- 
richt NIO abgewiesen. Ergibt diese Uberprufung eine korrekte 
Ubereinstiminung mit der erwarteten Antwort AEH auf die Her- 
ausforderung HEF, so wird in einem vierten Entscheidungs- 
schritt A4 gepruft, ob die in der modif izierten Anfragenach- 
richt ANM enthalterie Empf angeradresse EA ftir die Kommuni.kati 
onseinheit KE adressierbar ist. Fur. den Fall, dass. diese Emp 
f angeradreSse EA ^mit einer hegativen Empf angeradresse NEA. u-^ 
bereinstimmtv "wird. die modif izierte Anf ragenachricht- ANM • zur 
tJbermittlung von Nutzdaten ND abgelehnt. Dies wird der Kommu- 
nikationseinheit KE mittels einer zehnten Nachricht NIO mit- 
geteilt. Alternativ kann anstelle der Uberprtifung der Empf an- 
geradresse EA mit Hilfe von mindestens einer negativen Emp- 
f angeradresse NEA, die PrUfung anhand von mindestens einer 
positiven Empf angeradresse PEA stattfinden. Hierbei wird ge- 
pruft, ob die Empf angeradresse EA einer positiven Empfanger- 
adresse PEA entspricht. Falls dies nicht zutrifft, wird die 
modif izierte Anf ragenachricht ANM abgelehnt, 

1 . 7 Protokollierung 

Fur den Fall, dass die Empf angeradresse EA adressierbar ist, 
wird weiterhin gepruft, ob die Empf angeradresse EA einer zu 
protokollierenden Empf angeradresse XEA entspricht, fur die 
das zweite Netzwerkelement NW2 die Datenmenge separat erfas- 
sen soli. Ist dies der Fall, wird ein neuer erster Datensatz 
DSl zum Datenauf kommen im zweiten Netzwerkelement NW2 ange- 
legt, der vorzugsweise mindestens folgende Datensatzelemente 
umfasst: 
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- Eindeutige IdentitSt des Datensatzes; 

- Empf anger adresse EA, auf die die Kommunikationseinheit KE 
zugreif t ; 

- Datenmenge; 

5 - Anzahl der Zugriffe auf diese Empf anger adresse EA. 

Entspricht die Empf angeradresse EA keiner zu protokollieren- 
den Empf angeradresse XEA^r so wird ein neuer zweiter Datensatz 
- DS2 zum Datenauf kommen angelegt, der vorzugsweise folgende 
10 Datensatzelemente umfasst: 

- eindeutige Identitat des Datensatzes ; 

- Datenmenge . 

Dieser zweite Datensatz DS2 bzw. das Datensatzelement mit der 
Angabe der Datenmenge wird immer dann aktualisiert, wenri zwi- 
15 ■ schen der Kommunikationseinheit KE und einer Empf angeradres- 
' sen EA- eine Oder mehrere Nachrichten> die moglicherweis^ 
Nutzdaten ND uinfassen, ausgetauscht werden, ' die . Taut ehtspre- 
chender Filteranweisung FW keiner zu protokollier'enden Emp- 
f angeradresse XEA entsprechen. - 

20 ;} 

Alle ersten bzw. zweiten Datensatze DSl bzw. DS2 werden^::;in 
einer Protokolldatei PD auf einem Speicherelement SM gespei- 
chert . 

AnschlieBend wird aus der modif izierten Anf ragenachricht ANM ~ 
eine achte Nachricht N8 generiert, die an eine nachgeschalte- 
te zweite Netzwerkeinheit NW2 bzw. . an eine durch die Empf an- 
geradresse EA adressierte Einheit weitergeleitet wird. Diese 
zweite Netzwerkeinheit NE2 befindet sich im 5f f entlichen, pa- 
30 ket-orientierten Netzwerk PN. Die Antwort auf diese achte 

Nachricht N8, in Figur 2 als neunte Nachricht N9 realisiert, 
wird nach Empfang durch das zweite Netzwerkelement NW2 dem 
entsprechenden Datensatz DSl bzw. DS2 zugeordnet, mit dem be- 
reits die modifizierte Anf ragenachricht ANM protokolliert 
35 wurde. Im Anschluss daran wird durch das zweite Netzwerkele- 
ment NW2 die neunte Nachricht N9 mittels einer siebten Nach- 
richt N7 an die Koimtiunikat ions einheit KE weitergeleitet. 
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1.8 Auswertung der Protokolldatei 

Zu einem spateren Zeitpunkt kann das zweite Netzwerkelement 
NW2 die Protokolldatei PD tiber eine achte Verbindung V8 mit~ 
tels einer Protokollnachricht PDN an eine Auswerteeinheit 
AWE, beispielsweise eine Vergebuhrungsstelle, weiterleiten. 
Diese Auswerteeinheit AWE wertet einen oder mehrere erste 
bzw. zweite Datensatze DSl bzw. DS2 der Protokolldatei PD 
aus, •am daraus beispielsweise eine Rechnung fur die Koitununi- 
kationseinheit KE zu erstellen. . 

AuBerdem konnen ein oder mehrere erste bzw. zweite Datensatz^ 
DSl bzw. .DS2 zum Datenauf kommen durch die Auswerteeinheit AWE 
derart ausgewertet werden, dass daraus Steuerinf ormationen 
zur Optimierung des : Datenverkehrs innerhalb eines oder mehre- 
rer Netzwerke,, ,wie beispielsweise fur das Heimnetzwerk HN, ^ 
generiert werden'- k5nnen. 

Das Verwenden von Filteranweisungen FW ist in diesem Zusam- 
menhang vorteilhaft, da dies eine Vergebiihrung in Abhangig- 
keit vom ubertragenen Inhalt^. z.B. von den Nutzdaten ND, er- 
moglicht. So konnen Zugriffe auf einen Presence-Server sepa- 
rat erfasst werden^ in dem die Adresse des Presence-Servers 
gefiltert wird. Es ist auJierdem fur die Praxis vorteilhaft, 
dass die Vergebuhrung nicht von dem darunter liegenden TransJ 
portnetzwerk, wie beispielsweise GPRS, abhangig ist. Das ^ 
Erstellen von Datensatzen, wie z.B. dem ersten Datensatz DSl, 
zum Erfassen des Datenauf kommens geschieht lediglich in einem 
Netzwerkelement vom Typ Daten-Gateway, wie im Ausfiihrungsbei- 
spiel in dem zweiten Netzwerkelement NW2 . Ein darunter lie- 
gendes GPRS-Transportnetzwerk wird m^glicherweise die Verbin- 
dung zwischen der Kommunikationseinheit KE und dem ersten 
Netzwerkelement NWl, das direkt zum zweiten Netzwerkelement 
NW2 fuhrt, gebtihrenfrei anbieten. Die Vergebuhrung lauft dann 
auch im. Fall von GPRS lediglich tlber das zweite und/oder 
dritte Netzwerkelement NW2 bzw. NE3. Das GPRS-Transportnetz- 
werk muss dadurch keine Vergebtihrungsfunktion bereitstellen. 
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1.9 Erweiterungen und Variatlonen 

Eine mogliche Erweiterung des Ausf uhrungsbeispiels wird mit 
Hilfe von Figur 1 und Figur 2 naher -erlautert . Hierzu wird 
zunachst eine zusatzliche modif izierte zweite Verbindung V2M 
zwischen dem ersten Netzwerkelement NWl und dem zweiten Netz- 
werkelement NW2 in die Architektur von Figur 1 eingefugt. 
Diese modif izierte zweite Verbindung V2M ermSglicht dem zwei- 
ten Netzwerkelement NW2 dem ersten Netzwerkelement NWl mitzu- 
teilen^ wenn dieses die erste Verbindung VI zwischen der Kom- 
munikationseinheit KE und dem ersten Netzwerkelement NWl 
trennen soli. Schlagt beispielsweise die Authentif izierung 
der Kommunikationseinheit KE fehl, so kann das zweite Netz- 
werkelement NW2 das erste Netzwerkelement NWl anweisen, die 
erste Verbindung ■ VI zu trennen und somit die durch diese ers- 
te - Verbindung- VI belegte Funkressource wieder freizugeben. 
Dazu sendet das zweite Netzwerkelement NW2 nach Ubermittlung 
der zehnten Nachricht NIO eine zwolfte Nachricht N12 an das 
erste Netzwerkelement NWl, urn damit das erste Netzwerkelement 
NWl aufzufordern die erste Verbindung VI zu trennen. Die 
zwolfte Nachricht N12 beinhaltet eine eindeutige IdentifizieH 
rung der zu trennenden Verbindung, wie zum Beispiel die erste 
Verbindung VI . 

GemaB einer Erweiterung des erf indungsgemaBen Verfahrens ver- 
gibt das erste Netzwerkelement NWl bei Beginn der Konfigura- 
tion einer neuen Kommunikationsverbindung eine Verbindungs- 
identitat VID. Die Konf iguration einer Kommunikationsverbin- 
dung bedeutet hierbei das Aufbauen einer oder mehrerer Ver- 
bindungen zwischen den jeweiligen Netzwerkelementen NEE und 
der Kommunikationseinheit KE, damit diese Kommunikationsein- 
heit KE eine oder mehrere Anf ragenachrichten AN an eine zwei- 
te Netzwerkeinheit NW2 schicken kann, Es konnen mehrere Kom- 
munikationsverbindungen gleichzeitig fiir eine Kommunikations- 
einheit KE bestehen. Beispielsweise bestehen gleichzeitig fiir 
jeweils drei verschiedene Nutzeridentitaten NID einer Kommu- 
nikationseinheit KE jeweils drei verschiedene Kommunikations- 
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verbindungen. Diese Verbindungsidentitat VID identif iziert 
eindeutig eine Verbindung zwischen dem ersten und zweiten 
Netzwerkelement NWl bzw. NW2 dieser neuen Kommunikationsver- 
bindung. Mit Hilfe der IP-Adresse (I-p —Internet Protocol) 
der Kommunikationseinheit KE und dieser Verbindungsidentitat 
VID ist auch die Verbindung zwischen der Kommunikationsein-. 
heit KE und dem ersten Netzwerkelement NWl eindeutig identi- 
fizierbar. 

Das erste Netzwerkelement NWl iibermittelt diese Verbindungs- 
identitat VID zusammen mit der IP-Adresse IPA der Kommunika- 
tionseinheit KE in.einer elf ten Nachricht Nil dem zweiten 
Netzwerkelement NW2 mit. Das zweite Netzwerkelement NW2 quit- 
tiert den Empfang der elften Nachricht Nil mit einer vier- 
■zehhten Nachricht Nl 4. Diese Realisxerungsvariante ist vor- • 
..teilHaft, da- diese lediglich eine weitere Slgnalisierung zwi'- 
s Chen dem ersten und -zweiten! Netzwerkelement- NWl bzw. NW2 er- 
fordert. Die eindeutige Identif izierung dieser Kommunikati- 
onsverbindxmg ist somit dem ersten und zweiten Netzwerkele- 
ment NWl bzw. NW2 bekannt. Dies ist in der Praxis zweckmSfiig, 
da eine Kommunikationseinheit KE mehrere Kommunikationsver- 
bindung mit einem ersten Netzwerkelement NWl unter derselben 
IP-Adresse IPA besitzen kann. Gibt das zweite Netzwerkelement 
NW2 die IP-Adresse IPA und die Verbindungsidentitat VID in 
der zwolften Nachricht N12 an, so erkennt das erste Netzwerk 
element NWl eindeutig, welche Kommunikat ions verbindung bzw. 
Verbindung zwischen der Kommunikationseinheit PCE und dem ers- 
ten Netwerkelement NWl zu trennen ist- Das erste Netzwerkele- 
ment NWl quittiert den Empfang der zwOlften Nachricht N12 
mittels einer dreizehnten Nachricht N13. 

Die zusatzliche Slgnalisierung mit der elften und vierzehnten 
•Nachricht Nil bzw. N14 kann auBerdem noch dazu genutzt wer- 
den, eine GPRS - Vergebtihrungsinf ormation an das zweite Netz- 
werkelement NW2 zu senden. Das zweite Netzwerkelement NW2 
kann die GPRS - Vergebtlhrungs information zu einem oder mehre- 
ren DatensStzen DSl bzw. DS2 des zweiten Netzwerkelementes 
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NW2 hinzufugen und diese an die Auswerteeinheit AWE tibermit- 
teln. Die Auswerteeinheit AWE kann die Datensatzen DSl bzw. 
DS2 luit der Vergebuhrungs information des GPRS - Transport^ 
netzwerks, zum Beispiel iriit einer Vergebtihrungsf unktion, kor- 
5 relieren und daraus eine Abrechung der Verbindungsgebtihren 
ftir die Kommunikationseinheit KE erstellen. 

Alternativ zur Verwendung einer Verbindungsidentitat VID kann 
ein IPSec-Tunnel IIP (IPSec - Internet Protocol Security) be~ 
nutzt werden. Beispielsweise kann dies laittels der Verwendung 
der IPSec-Technologie wie in IETF RFC 2401, "Security Archi- 
tecture for the Internet-Protocol" geschehen, Diesem IPSec- 
Tunnel IIP wirdeine Identitat zugeordnet, Zur Trennung der 
Verbindung zwischen der Koinmunikationseinheit KE und dem ers- 
ten Netzwerkelement NWl iibertragt das zweite Netzwerkelement ' 
NW2 dem ersten Netzwerkelement NWl lediglich diese Identitat 
.des IPSec-Tunnels IIP. Diese Identitat ist im ersten als'-'auch 
zweiten Netzwerkelement NWl bzw. NW2 - eindeutig bekannt. Das 
erste Netzwerkelement NWl kennt die Abbildung der Identitat 
des IPSec-- Tunnels IIP zu der dazugehorigen Verbindung zwi- 
schen dem ersten Netzwerkelement NWl und der Kommunikations- 
einheit KE. 

Fiir diese Losung wird jeweils ein IPSec-Tunnel zwischen dem 
ersten und zweiten Netzwerkelement NWl bzw. NW2 fiir jede Kom- 
munikationsverbindung einer Kommunikationseinheit KE bereit- 
gestellt. Diese Alternative ist in der Praxis zweckmaUig, da 
keine zusatzliche Signalisierung benotigt wird, xom dem zwei- 
ten Netzwerkelement NW2 diese Identitat des IPSec-Tunnels 
mitzuteilen. Die elfte bzw. vierzehnte Nachricht Nil bzw: N14 
werden hierbei nicht benotigt. 

Nach erfolgreicher Trennung der ersten Verbindung VI zwischen 
der Kommunikationseinheit KE und dem ersten Netzwerkelement 
35 NWl, die durch die zwolfte Nachricht N12 durch das zweite 

Netzwerkelement NW2 veranlasst wurde, schickt das erste Netz- 
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werkeleiaent NWl eine Bestatigungsnachricht N13 an das zweite 
Netzwerkelement NW2 zurUck. 

2. Zweites Ausftlhrungsbeispiel 
2.1 Vorrichtung und Aufbau 

In einem weiteren Ausftlhrungsbeispiel wird eine Alternative 
zur Authentifizierung und Sicherung der Integritat einer Kom- 
munikationseinheit KE mit Hilfe eines zweiten Netzwerkeleitien- 
tes NW2 beschrieben. Ein zweites Netzwerkelement NW2 kann in 
Form eines Daten-Gateways reallsiert werden. In Figur 4 ist 
eine mogliche Vorrichtung zur Durchfiihrung dieses Ausfiih- 
rungsbeispiels dargestellt. Die Kommunikationseinheit KE be-i 
findet sich in einem besuchten Netzwerk VN. Eine oder mehrere 
Nachrichten konnen mit Hilfe der SIP-Syntax (SIP-Session Ini- 
tiation Protocol) gebildet werden, siehe .IETF, RFC 3261, „SIP 
Initiation Protocol''. ^ ' \ ' - - ■ • . I 

:;Die Kommunikationseinheit KE ist mit einem ersten Netzwerk- 
element NWl im gesuchten Netzwerk VN tiber eine erste Verbin- 
dung VI verbunden. Diese erste Verbindung VI wird mit Hilfe 
der Prozedur mit einem Namen „PDP Context Activation Procedu- 
re^ aufgebaut, wie sie in 3GPP TS 23.06.0 Version 5.^3.0 be- 
schrieben ist. Somit wird diese erste Verbindung VI mit einem 
ersten PDP-Kontext realisiert. Wahrend des Aufbaus dieser 
ersten Verbindung VI wird festgelegt, dass diese lediglich m 
ftir den Austausch von Nachrichten zwischen der Kommunikati- 
onseinheit KE und dem zweiten Netzwerkelement NW2 verwendet 
werden darf . Alle Nachrichten, die auf dieser ersten Verbin- 
dung VI gesendet werden, werden automatisch von dem ersten 
Netzwerkelement NWl tiber eine zweite Verbindung V2 an ein 
zweites Netzwerkelement NW2 weitergeleitet . Das zweite Netz- 
werkelement NW2 hat eine vierte Verbindung V4 in ein offent- 
liches, paket-orientiertes Netzwerk PN. Zusatzlich hat das 
zweite Netzwerkelement NW2 eine dritte Verbindung V3 zu einem 
SIP-Proxy PCS. Dieser SIP-Proxy PSC befindet sich dabei immer 
im gleichen Netzwerk wie das erste Netzwerkelement NWl, in 
diesem Ausftlhrungsbeispiel also im besuchten Netzwerk VN. 
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AuJBerdeia wird mit Hilfe der Prozedur mit dem „Namen PDF Con- 
text Activation Procedure''^ eine weitere Verbindung mit einem 
Namen ftinfte Verbindung V5 zwischen der Koiniaunikationseinheit 
5 KE und der ersten Netzwerkelement NWl aufgebaut. Diese fiinfte 
Verbindung V5 wird mittels eines zweiten PDP-Kontexts reali- 
siert. Diese fiinfte Verbindung V5 wird hauptsachlich fur den 
Austausch von SIP-Nachrichten verwendet. AuBerdeiti ist das 
erste Netzwerkelement NWl liber eine sechste Verbindung V6 mit 
10 dem SIP-Proxy PCS verbunden, der zusatzlich eine siebente 
Verbindung V7 zu dem zweiten SIP-Proxy SCS unterhalt. Uber 
die funfte und sechste Verbindung V5 bzw. V6 werden lediglich 
Nachrichten ohne Nutzdaten ND zwischen der Kommunikationsein- 
heit KE und dem SIP-Proxy PCS ausgetauscht . Der zweite SIP- 
15 Proxy SCSbefindet sich immer im Heimnetz HN der Kommunikati- 
onseinheit KE und hat unt'er anderem die Funktioh eines SIP- ' 
Registrars, siehe IETF RFC 32 61, r.SIP Initiation Protocol""". . 
Der zweite SIP-Proxy SCS verftigt iiber eine zehnte Verbindung 
VIO mit der Datenbank HSS. Um SIP-Nachrichten auch mit einer 
20 Oder mehreren Kommunikationseinheiten KE im of f entlichen> pa- 
ket-orientierten Netzwerk PN auszutauschen, ist der zweite 
SIP-Proxy SCS mit einer neunten Verbindung V9 mit diesem of- 
fentlichen, paket-orientierten Netzwerk PN verbunden. 

Mit Hilfe von Figur 5 werden die Nachrichten zum Austausch 
ftir die Authentif izierung und Sicherung der Integritat sowie 
Verteilung eines oder mehrerer SchlUssel gemafi diesem Ausftih- 
rungsbeispiel naher erlautert. Zur Benutzung eines oder meh- 
rerer IMS-Dienste (IMS - IP Multimedia Subsystem) registriert 
30 sich eine Kommunikationseinheit KE zunachst im IMS-Netz. Der 
Ablauf zur Registrierung ist in den Dok\imenten IETF RFC 32 61 
und 3GPP TS 24.229, Version 5.2.0, "IP Multimedia Call 
Control Protocol based on SIP and SDP" detailliert beschrie- 
ben. Zusatzlich sind in dem Dokiament 3GPP TS 24.228 "Signa- 
35 ling Flows for the IP Multiiaedia Call Control based on SIP 
and SDP" Beispiele fUr den Nachrichtenaustausch zu finden. 
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2.2 Anfragenachricht 

Die Kommunikationseinheit KE sendet fur die Registrierung zu- 
nachst eine Aaf ragenachricht AN mit einem Namen "Register" ti- 
ber die ftinfte und sechste Verbindung V5 bzw. V6 an den S IP- 
Proxy PCS. Dieser leitet diese Anfragenachricht AN an den 
zweiten SIP-Proxy SCS im Heimatnetzwerk HN mittels einer 
zweiten Nachricht N2 weiter. Sowohl die Anfragenachricht AN 
als auch die zweite Nachricht N2 enthalten die Nutzeridenti- 
tat NID. Die fur die Authentif izierung zu verwendende Nutzer- 
identitat NID ist, wie in den Dokiimenten IETF RFC 3310 und 
IETF RFC 2 617 beschrieben, in der jeweiligen Nachricht AN 
bzw. N2 in einer Informations zeile mit einem Namen "Authori- 
zation" enthalten. 

2 . 3 Nutzun^sinf ormation ~ ' : 
Aufgrund dieser Nutzeridentitat NID erfragt der.. zweite. SIP- 
Proxy; SCS nun mit'Hilfe einer dritten Nachrichf N3 eine bder 
mehrere -Nutzungsinformationen NI von der Datenbank HSS ab. 
Ftir die weitere Betrachtung wird zwischen zwei verschiedenen 
zweiten Schlusseln SP2P und SP2N unterschieden. Der eine 
zweite SchlUssel wird im Folgenden als zweiter Proxy-Schltis- 
sel SP2P bezeichnet. Dieser xnafasst mindestens einen Schltls- 
sel zur Authentif izierung und Sicherung der Integritat sowie 
zur Verschltlsselung der Verbindung zwischen der Kommunikati- 
onseinheit KE und dem SIP-Proxy PCS und ist fur den SIP-Prox 
PCS bestimmt. Der andere zweite Schliissel wird im Folgenden 
als zweiter Netzwerkschlussel SP2N bezeichnet. Dieser umfasst 
mindestens einen Schliissel zur Sicherung der Integritat und 
fur die Verschlusselung der Verbindung zwischen der Kommuni- 
kationseinheit KE und dem zweiten Netzwerkelement NW2 und ist 
fur das zweite Netzwerkelement NW2 bestimmt. Im Folgenden 
wird da von ausgegangen, dass genau ein zweiter Netzwerk- 
schlussel SP2N und ein zweiter Proxy-Schltissel SP2P existie- 
ren. Nach Empfang der dritten Nachricht N3 antwortet die Da- 
tenbank HSS mit einer vierten Nachricht N4, die eine oder 
mehrere Nutzungsinformationen NI enthalt, Eine oder mehrere 
Nutzungsinformationen NI umfassen hierbei den zweiten Proxy- 
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Schlussel SP2P und die Herausf orderung HEF, die zur Authenti- 
fizierung an die Kommunikationseinheit KE in einem spateren 
Schritt ubermittelt wird. Der zweite SlP-Proxy SCS sendet nun 
diese Nutzungsinformationen NI in eiTrer-funf ten Nachricht N5 
mit einem Namen "401 Unauthorized" an den SIP-Proxy PCS • Die- 
se fiinfte Nachricht N5 umfasst sowohl den zweiten Proxy- 
Schltissel SP2P als auch die Herausf orderung HEF, die beide 
zur Authentif izierung der Kommunikationseinheit KE zwischen 
der Kommunikationseinheit KE und dem zweiten S IP-Proxy SCS 
verwendet werden. Der zweite Proxy-Schltissel SP2P als auch 
die Herausf orderung HEF werden gemafi der Dokiomente IETF RFC 
3310 und IETF RFC 2 617 in eine Inf ormationszeile itiit einem 
Namen ,,WWW-Authenticate^ in der fiinften Nachricht N5 einge- 
fugt. Der SIP-Proxy PCS entnimmt der fiinften Nachricht N5 den 
Proxy-Schlussel SP2P zur Sicherung der Integ;ritat und Ver- 
schliisselung und sendet diese .modif izierte Nachricht in .Form 
einer sechsten Nachricht N6 an die KommunikationseinheitvKE 
weiter. Die Kommunikationseinheit KE generiert nun aufgrund 
der Inf ormationen in der Herausf orderung HEF einen erstea 
Schlussel, der im Folgenden als erster Proxy-Schlussel SPIP 
bezeichnet wird, und der zur Sicherung der Integritat und: 
Verschlxisselung eingesetzt wird. AuBerdem erstellt die Kommu- 
nikationseinheit KE mit dem^ersten Proxy-Schltissel SPIP eine 
Antwort AGH auf die Herausf orderung HEF. 

2.4 Modif izierte Anf ragenachricht 

AnschlieBend sendet die Kommunikationseinheit KE eine modifi- 
zierte Anf ragenachricht ANM mit einem Namen "Register" an den 
SIP-Proxy PCS- Diese modif izierte Anf ragenachricht ANM ent- 
halt die Antwort AGH auf die Herausf orderung . GemaB den Doku- 
menten IETF RFC 3310 und IETF RFC 2617 enthalt diese modifi- 
zierte Anf ragenachricht ANM diese Antwort AGH in einer Infor- 
mationszeile mit einem Namen "Authorization". Auflerdem wird 
die Integritat dieser modif izierten Anf ragenachricht ANM mit 
Hilfe des generierten ersten Proxy-Schliissels SPIP sicherge- 
stellt . 
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Der SIP-Proxy PCS prtift nun mit Hilfe des, von dem zweiten 
SIP-Proxy SCS empf angenen, zweiten Proxy-Schltissels SP2P, ob 
die modif izierte Aaf ragenachricht ANM nach seiner Erstellung 
durch die Kommunikationseinheit KE -ver-andert wurde . Wenn sich 
nach der PrUfung der Integritat herausstellt^ dass die Integ- 
ritat in Ordnung ist, sendet der SIP-Proxy PCS diese modifi- 
zierte Anf ragenachricht i\JSIM in Form einer achten Nachricht N8 
an den zweiten SIP-Proxy SCS weiter. 

Der zweite SIP-Proxy SCS prtift anhand der Antwort AGH auf die 
Herausforderung HEF, ob die Koiniaunikationseinheit KE autori- 
siert ist, sich am IMS-Netz zu registrieren. Falls die Uber-J 
prtifung ergibt, dass die Kommunikationseinheit KE dazu be- 
rechtigt ist, teilt der zweite SIP-Proxy SCS mit Hilfe einer 
neunten Nachricht ^N9 der Datenbank HSS mit, dass die Kommuni- 
kationseinheit KE nun regi'Striert ist. ' 

2.5 Weitere Nutzungsinf ormation .. 

Die Datenbank HSS sendet daraufhin eine oder mehrere weitere 
Nut zungs info rmationen NIW m^ittels einer zehnten Nachricht NIO 
an den zweiten SIP-Proxy SCS. Eine oder mehrere weitere Nut- 
zungsinf o rmationen NIW umfassen beispielsweise den zweiten 
Netz-SchlUssel NP2N, der zur Sicherung der Integritat und flir 
die Verschltisselung far die Verbindung zwischen der Kommuni- ^ 
kationseinheit KE und dem zweiten Netzwerkelement NW2 einge-B 
setzt wird. AuJJerdem sind eine oder mehrere Filteranweisungeiv 
FW enthalten, die zur Filterung des Nachrichtenverkehrs von 
dem zweiten Netzwerkelement NW2 benutzt werden. Alternativ 
zur Ubermittlung weiterer Nutzungsinf ormationen NIW mittels 
der zehnten Nachricht NIO konnen diese weiteren Nutzungsin- 
f ormationen NIW bereits mittels einer oder mehrere Nutzungs- 
inf ormationen NI mit der vierten Nachricht N4 libertragen wor- 
den sein. Eine oder mehrere Filteranweisungen FW werden gemaB 
dem vorherigen Ausfuhrungsbeispiel erstellt. 

In einem nachsten Schritt sendet der zweite SIP-Proxy SCS ei- 
ne elfte Nachricht Nil mit einem Namen "200 OK" an den SIP- 
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Proxy PCS. Diese elfte Nachricht Nil iimfasst einen oder meh- 
rere zweite Netz-Schliissel SP2N zur Sicherung der Integritat 
und ftir die Verschltisselung, die von dem zweiten Netzwerkele- 
ment NW2 verwendet werden. AuJierdem .umfasst diese elfte Nach- 
5 richt Nil zusatzliche Inf oriuationen,- die die Koinmunikations — 
einheit KE benotigt, ma ihrerseits einen ersten Netz-Schlus- 
sel SPIN zu berechnet. Jewells ein erster Netz-Schltlssel SPIN 
und jeweils ein zweiter Netz-Schltissel SP2N bilden ein zusam- 
mengehoriges Schltlsselpaar SCP zur Sicherung der Verbindung 
0 zwischen dem zweiten Netzwerkelement NW2 und der Kommunikati- 
onseinheit KE. 

Alternativ kann anstelle von unterschiedlichen SchlUsseln ftir 
die jeweilige Verbindung , zwischen der Kommunikationseinheit 
5 KE und dem zweiten Netzwerkelement NW2 und zwischen der Kom- 
munikationseinheit KE und dem SlP-Proxy PCS ein gemeinsames 
Schlusselpaar SCP verwendet werden- - . .^ - 

2 . 6 Nutzeridentitat 
0 ' Einer Kommunikationseinheit KE konnen mehrere Nutzeridentita- 
ten NID zugeordnet werden. Hierbei ist es in einer vorteil- 
haften Erweiterung in der Praxis zweckmaBig, jeweils einem o- 
der mehreren Schlussel zusatzlich jeweils eine oder mehrere 
Nutzeridentitaten zuzuordnen, mit denen der jeweilige Schltis- 
sel verwendet werden darf. Das zweite- Netzwerkelement NW2 
kann den Austausch von' Nachrichten zwischen der Kommunikati- 
onseinheit KE und dem zweiten Netzwerkelement NW2 unter Ver- 
wendung einer bestimmten Nutzeridentitat, wie z.B. die erste 
Nutzeridentitat NIDI, erlauben bzw. unter einer anderen Nut- 
0 zeridentitat, wie z.B. die erste Nutzeridentitat NID2, abwei- 
sen. So ist die Erstellung unterschiedlicher Nutzerprof ile 
ftir eine Kommunikationseinheit moglich. 

Der SIP-Proxy PCS entnimmt der elften Nachricht Nil den zwei- 
5 ten Netz-Schlussel SP2N und alle Filteranweisungen FW. Anhand 
des Namens "200 OK" dieser elften Nachricht Nil erkennt der 
SIP-Proxy PCS, dass die Authentif izierung erfolgreich war. 
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Der SIP-Proxy PCS sendet diese modif izierte elfte Nachricht 
Nil als vierzehnte Nachricht N14 an die Koiraaunikationseinheit 
KE. Mit Hilfe der in dieser vierzehnten Nachricht N14 enthal- 
tenen Informationen berechnet die Kommunikationseinheit KE 
nun ihrerseits einen ersten Netz-Schltissel SPIN zur Sicherung 
der Integritat und fur die Verschlusselung* Dieser erste 
Netz-Schltissel SPIN wird ftlr den Nachrichtenaustausch zwi- 
schen der Kommunikationseinheit KE und dem zweiten Netzwerk- 
element NW2 verwendet . Des Weiteren libergibt der SIP-Proxy 
PCS seinen Netz-Schlussel SP2N, sowie alle Filteranweisungen 
FW;. mit Hilfe einer zwolften Nachricht N12 an das zweite 
Netzwerkelement NW2, welches den Empfang mit einer dreizehn~i 
ten Nachricht N13 bestatigt. 

2 . 7 Nachrichtenaustausch - ' / ' 

Im Foigenden konnen die. Kommunikationseinheit KE' und die 
/.zweite; Netzwerkelement - NW2: Nachrichten. gegenseltig austau- 
, schen:. Dies wird mit Hilfe von Figur 6 naher erlSutertv. Die- 
Kommunikationseinheit KE schickt eine Anfragenachricht AN an 
das zweite Netzwerkelement NW2 . Diese Anfragenachricht AN 
enthait die Nutzeridentitat NID und die gewunschte Empfanger- 
adresse EA, von der Nutzdaten ND angefordert werden. FUr den 
Fall, dass das HTTP-Protokoll verwendet wird, handelt es sich 
bei dieser Anfragenachricht AN um einen HTTP-Request. Diese ^ 
Anfragenachricht AN ist mit Hilfe eines ersten Netz- m 
Schltissels SPIN zur Sicherung der Integritat gesichert und 
kann verschltisselt sein. Das zweite Netzwerkelement NW2 ist 
in der Lage, mit einem seiner Netzwerk-Schliissel SP2N die 
empfangene Anfragenachricht AN zu entschltisseln und zu pru- 
fen, ob diese Anfragenachricht AN nach dem Erstellen durch 
die Kommunikationseinheit KE geandert wurde . Das zweite Netz- 
werkelement NW2 prtift daraufhin, ob die gesendete Nutzeriden- 
titat NID zusammen mit dem benutzten ersten Netz-Schlussel 
SPIN bzw- dem entsprechenden zweiten Netz-Schliissel SP2N ver- 
wenden darf, und somit die Kommunikationseinheit KE autori- 
siert ist, eine oder mehrere Nachrichten zu senden. 
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Im Falle^ dass die Koininunikationseinheit KE zum Senden von 
einer oder mehreren Nachrichten berechtigt ist, pruft das 
zweite Netzwerkelemexit NW2 weiterhin mit Hilfe der von dem 
SIP-Proxy PCS empfangenen Filteranweisungen FW, ob die Kommu- 
nikationseinheit KE unter der von ihr benutzten Nutzeridenti- 
tat NID auf die in der Anf ragenachricht AN enthaltenen Emp- 
f angeradresse EA zugreifen darf. Ist dies der Fall, so leitet 
das zweite Netzwerkelement diese Anf ragenachricht AN in Form 
einer sechzehnten Nachricht N16 an die entsprechende Empf an- 
geradresse EA weiter, AuBerdem uberpriift das zweite Netzwerk- 
element NW2, ob es eine oder mehrere Datensatze zura Datenauf- 
kommen ftlr den Zugriff auf die gewUnschte Empf angeradresse EA 
anlegen soil. Das Anlegen eines oder mehrere Datensatze ent- 
spricht dabei der Prozedur, wie sie in dem vorhergehenden 
Aus'ftlhrungsbeispiel beschrieben ' ist . : * 

Fur den Fall, dass die Kommunikationseinheit. KE'. nicht autori- 
siert ist, unter der genannten Nutzeridfentitat- NID Nachrich- 
ten mit dem zweiten Netzwerkelement NW2 auszutauschen oder 
unter der genannten Nutzeridentitat NID gemali einer oder meh- 
rere Filteranweisungen FW nicht auf die gewunschte Empfanger- 
adresse EA zugreifen darf, sendet das zweite Netzwerkelement 
NW2 eine achtzehnte Nachricht N18 an die Kommunikationsein- 
heit KE zuruck. Diese acht.zehnte Nachricht N18 teilt -der Kom- 
munikationseinheit KE mit, dass diese nicht autorisiert ist, 
unter der genannten Identitat NID auf die genannte Empfanger- 
adresse EA zuzugreifen. 

SchlieBlich konnen ein oder mehrere Datensatze tiber eine ach- 
te Verbindung V8 zur Auswertung an eine Auswerteeinheit AEW ■ 
tlbermittelt werden. 

3, Drittes Ausfiihrungsbeispiel - 

Assoziation von SIP-Signallsierung und Nachrichten 

Gemafi einer Erweiterung des erf indungsgemaBen Verfahrens wird 
im folgenden Ausfiihrungsbeispiel beschrieben, wie eine oder 
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mehrere Nachrichten mit Nutzdaten ND zwischen einer Kommuni- 
kationseinheit KE und einem zweiten Netzwerkelement NW2 mit 
einer Signalisierungs-Transaktion assoziiert werden konnen. 
Es wird hierzu arigenoinmen, dass die • Koitimunikationseinheit KE 
bereits am IMS-Netz registriert ist und somit sowohl die Au- 
thentif izierung erfolgreich abgeschlossen wurde als auch die 
entsprechenden SchlUssel zur Sicherung der Integritat ftir die 
Verschltisselung im zweiten Netzwerkelement NW2 und in der 
Kommunikationseinheit KE vorhanden sind. Mit Hilfe von Figur 
7 wird der Nachrichtenf luss far dieses Ausftihrungsbeispiel 
naher erlautert. Neben den aus Figur 4 bekannten Netzwerkele-^ 
menten wird ftir dieses Ausftihrungsbeispiel ein neues Netz- m 
werkelement mit einem Namen Anwendungs server AS eingeftihrt. 
Bei dem Anwendungs server AS handelt es sich in diesem Ausftih- 
rungsbeispiel um einen Pres ence- Server . . 

Die ser;^ Anwendungs server AS: soli die' Kommunikationiseinheit KE 
tiber die Anderung einer Prasen'z-Information einer weiteren 
Kommunikationseinheit, moglicherweise Kommunikationseinheit 
KE2, unterrichten. Bei der Verwendung des SIP-Protokolls • zur 
Signalisierung, benutzt in diesem Fall der Anwendungs server 
AS eine SIP-Nachricht mit einem Namen "Notify" . Hierbei ist 
es zweckmaBig, dass die SIP-Nachricht mit einem Namen "Noti- 
fy" zusatzlich die aktuellen PrSsenz-Inf ormiationen PI ent- ^ 
halt. Wenn diese Prasenz-Informationen PI sehr grofi sind, isB 
es in der Praxis vorteilhaft, diese nicht uber die gleiche 
Verbindung zu tibermitteln, wie die sonstigen SIP-Nachrichten, 
um damit einen oder mehrere SIP-Proxys, wie zum Beispiel SIP- 
Proxy PCS Oder zweiter SIP-Proxy SCS, nicht zu tiberlasten. 
Hierzu ist im Dokument "Draft- lETS-SIP-CONTENT-INDIRECT-MECH- 
00", "A mechanism for content indirection in SIP-messages" , 
siehe www.ietf.org, ein mogliches Verfahren beschrieben, mit 
dem eine Kommunikationseinheit auf eine Empf angeradresse, die 
eine oder mehrere Nutzdaten ND enthalt, umgeleitet wird- Die- 
se Nutzdaten ND entsprechen in diesem Ausftihrungsbeispiel den 
aktuellen Prasenz-Informationen PI. Dazu ist eine Umleitungs- 
information UNI in der SIP-Nachricht enthalten. Diese umfasst 
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beispielsweise eine umgeleitete Empf angeradresse UEA, wo die- 
se Prasenz-Informationen PI zu finden sind, Aufierdem gibt sie 
an, mit welchem Protokoll, zum Beispiel HTTP, diese Prasenz- 
Informationen PI abgefragt werden sollten. 

Zunachst schickt der Anwendungs server AS mit Hilfe einer ers- 
ten Nachricht Nl an den zweiten SIP-Proxy SCS die Umleitungs- 
information UNI, die auch anzeigt, dass Prasenz-Inf ormationen 
PI einer zweiten Koirununikationseinheit KE2 auf einer umgelei- 
teten Empf angsadresse UEA verftigbar ist. Diese Prasenz- 
Informationen PI sind ftir die Koinmunikationseinheit KE be- 
stimmt. Der zweite SIP-Proxy SCS erweitert diese erste Nach- 
richt Nl mit einer Erf assungsidentitat EI. Die Erfassungs- 
identitat EI identif iziert eindeutig eine SIP~Transaktion, 
also in diesem Fall die Benachrichtigung der Kommunikations- 
einheit KE tiber die Prasenz-Inf ormationen PI der zweiten Kom- 
munikatibnseinheit KE2. Es '1st moglich, diese Erf assungsiden- 
titat EI mit Hilfe einer Inf ormationszeile mit einem Namen 
"Media-Authorization" (siehe IETF RFC 3310) in einer Nach- v 
richt zu signalisieren. Diese Erf assungsidentitat EI teilt.i ■ 
mit, dass diejenigen Nachrichten separat erfasst werden sol- 
len, die aufgrund der in dieser ersten Nachricht Nl enthalte- 
nen Umleitungsinf ormation UNI zwischen der Kommunikationsein- 
heit KE und dem zweiten Netzwerkelement NW2 ausgetauscht wer- 
den sollen. 

Im nachsten Schritt sendet der zweite SIP-Proxy SCS diese er- 
weiterte Nachricht in Form einer zweiten Nachricht N2 an den 
SIP-Proxy PCS. Diese zweite Nachricht N2 umfasst die Umlei- 
tungsinf ormation UNI und die Erf assungsidentitat EI. Weiter- 
hin kann der zweite SIP-Proxy SCS auch die Anzahl der erlaub- 
ten Zugriffe und/oder die Zeitdauer, in der die Zugriffe auf 
die umgeleitete Empf angeradresse UEA erlaubt sind, festlegen 
AuJJerdem legt der zweite SIP-Proxy SCS einen Datensatz DS an 
der spater ftir die Steuerung und Auswertung des Nachrichten- 
verkehrs verwendet werden kann. Dieser Datensatz DS umfasst 
vorzugsweise folgende Datensatzelemente : 
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- Art der Nachricht vom Anwendungs server AS, zum Beispiel 
SIP-Nachricht vom Typ "Notify" oder "Info"; 

- Umgeleitete Empf Sngeradresse UEA, auf die in der jeweili- 
gen Nachricht verwiesen wurde; 

- Erfassungsidentitat EI; 

- Nutzeridentitat NID; 

Alternativ kann anstelle des zweiten SIP-Proxys SCS auch be- 
reits der Anwendungsserver AS einen Datensatz DS anlegen und 
die Erfassungsidentitat EI erstellen. 

Der SIP-Proxy PCS leitet die zweite Nachricht N2 in Form ei- 
ner dritten Nachricht N3 an die Kommunikationseinheit KE wai- 
ter. Parallel dazu tibermittelt der SIP-Proxy PCS eine vierte 
Nachricht N4 an- das zweite Netzwerkelement' NW2 . Diese' vierte 
• Nachricht N4 teilt.dem zweiten Netzwerkelement NW2 fait, dass 
es den Nachrichtenverkehr- mit der Kommunikationseinheit. ICE' '■ 
separat erfassen soli, falls in den Nachrichten der. Kommuni- 
kationseinheit KE die Erfassungsidentitat EI enthalten ist. 
Dazu ist die Erfassungsidentitat EI und die lamgeleitete Emp- 
fangeradresse UEA, auf die mittels dieser Erfassungsidentitat 
EI zugegriffen werden darf, in der vierten Nachricht N4 ent- 
halten. Dies ist in der Praxis vorteilhaft, da das zweite 
Netzwerkelement NW2 somit die Moglichkeit hat, Nachrichten an 
andere Empf angeradressen als der umgeleiteten Empf anger adres 
se UEA unter Zuhilfenahme dieser Erfassungsidentitat EI zu 
unterbinden. AuBerdem ist in der vierten Nachricht N4 die 
Nutzeridentitat NID enthalten, mit der die Kommunikationsein 
heit KE Nachrichten mit dieser Erfassungsidentitat EI senden 
darf . 

Weiterhin kann diese vierte Nachricht N4 eine Wiederholungs- 
information enthalten, die angibt, wie oft die Kommunikati- 
onseinheit KE die Erfassungsidentitat EI verwenden darf. 
Falls Nachrichten auf der Verbindiang zwischen der Kommunika- 
tionseinheit KE und dem zweiten Netzwerkelement NW2 verloren 
gehen, so kann mit Hilfe dieser Wiederholungsinformation an- 
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gegeben warden, wie oft die Kommunikationseinheit KE diese 
Nachricht wiederholt schicken darf . Damit wird eine mehrmali- 
ge Ubermittlung einer bestimmten Nachricht mit derselben Er- 
f assungsidentitat EI ermoglicht. Dennoch wird die Moglich- 
keit, dass eine Kommunikationseinheit KE dieselbe Erfassungs- 
identitat EI ftir zusatzliche Nachrichten nutzt, einge- 
schrankt. Diese Wiederholungsinf ormation kann auch bereits 
von dem zweiten SIP-Proxy „SCS in der zweiten Nachricht N2 an 
den S IP-Proxy PCS ubergeben werden. 

Der SIP-Proxy PCS und das zweite Netzwerkelement NW2 befinden 
sich immer im gleichen Netzwerk, beispielsweise in Figur 4' im 
besuchten Netzwerk VN. Wahrenddessen kann sich im Fall von 
"Roaming" der zweite SIP-Proxy SCS in einem anderen Netzwerk 
als die Kommunikationseinheit befinden, beispielsweise in Fi- 
gur 4 im Heimnetzwerk HN. Daher hat der -SIP-Proxy ,PCS Kennt- 
nis dartiber, welche Art von Verb indung, beispielsweise ver- 
lustbehaftet oder verlustlos, von dem zweiten Netzwerkelement 
NW2 untersttitzt und verwendet wird. >; 

Das zweite Netzwerkelement NW2 bestatigt nun den Empfang'der 
vierten Nachricht N4 mit Hilfe einer funften Nachricht N5'. 
Die Kommunikationseinheit KE bestatigt den Empfang der drit- 
ten Nachricht N3 mit Hilfe einer sechsten Nachricht N6. Nach 
Empfang dieser sechsten Nachricht N6 leitet der SIP-Proxy PCS 
diese Nachricht in Form einer siebten Nachricht N7 zum zwei- 
ten SIP-Proxy SCS weiter, der anschliefiend diese siebte Nach- 
richt N7 in Form einer achten Nachricht N8 an den Anwendungs- 
server AS weiterleitet . Damit hat der Anwendungs server AS 
Kenntnis, dass die Kommunikationseinheit KE Umleitungsinf or- 
mationen UNI erhalten hat, 

AnschlieBend sendet die Kommunikationseinheit KE eine Anfra- 
genachricht AN an das zweite Netzwerkelement NW2, urn eine o- 
der mehrere Nutzdaten ND von der in der dritten Nachricht N3 
angegebenen umgeleiteten Empf angeradresse UEA anzufordern. 
Wird ftir die Anf ragenachricht AN das HTTP-Protokoll verwen- 
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det, handelt es sich urn einen HTTP-Request. Diese ixrafasst so- 
wohl die umgeleiteten Empf angeradresse UEA als auch die Nut- 
zeridentitat NID. Diese Nutzeridentitat NID ist in dieser An- 
fragenachricht AN, wie in IETF RFC -331& -und IETF RFC 2617 be- 
schrieben, in der Informations zeile mit einem Namen "Authori- 
zation" enthalten. Zusatzlich wird die Erf assungsidentitat EI 
in diese Anf ragenachricht AN integriert. 

Diese Erf assungsidentitat EI kann in einer moglichen Erweite- 
rung des Ausf iihrungsbeispiels bei Verwendung des HTTP- 
Protokolls fur die Anf ragenachricht AN in eine neu zudefinie 
renden Inf ormationszeile mit einem Namen "Access Authorizati 
on" enthalten sein. 

Das zweite Netzwerkelemeht NW2 pruft anhand der von dem S IP- 
Proxy PCS empf angenen Inf ormationen, ob die Kommunikations- 
'einHeit'KE autorisiert ist> uhter d^r. In der Anf ragenachricht 
AN enthaltenen Nutzeridentitat :NID, auf die angegebene umge- 
leiteten Empfangeradress^e UEA unter Angabe der Erfassungs- 
identitat EI zuzugreifen. Nachdem die PrUfung den Zugriff er- 
laiibt hat, leitet das zweite Netzwerkelement NW2 diese Anfra- 
genachricht AN an die umgeleiteten Empf angeradresse UEA wel- 
ter. Dies geschieht in Form einer zehnten Nachricht NIO. Au- 
Berdem- erfasst das zweite Netzwerkelement nun den Nachrich- 
tenaustausch aufgrund dieser Anf ragenachricht AN separat. Da 
zu legt das zweite Netzwerkelement einen zweiten Datensatz 
DS2 an, der vorzugsweise folgende Datensatzelemente umfasst: 

- Erf assungsidentitat EI ; 

- Umgeleiteten Empf angeradresse UEA, auf die die Kommunika- 
tionseinheit KE zugreift; 

- Nutzeridentitat NID; 
GroBe aller Nachrichten; 

- Anzahl der Nachrichten, die unter der Erf assungsidentitat 
EI ausgetauscht wurden. 

Die Antwort auf die zehnte Nachricht NIO wird mittels einer 
elf ten Nachricht Nil an das zweite Netzwerkelement NW2 zuge- 
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schickt. Diese elfte Nachricht Nil wird in dem zweiten Daten- 
satz DS2 erfasst und danach an die Kommunikationseinheit KE 
in Form einer zwolften Nachricht N12 weitergeleitet . 

Ftir den Fall, dass die Kommunikationseinheit KE nicht autori- 
siert war, die Anf ragenachricht AN an das zweite Netzwerkele- 
ment NW2 zu senden, schickt das zweite Netzwerkelement NW2 
eine dreizehnte Nachricht N13 an die Kommunikationseinheit KE 
zurtick. Diese dreizehnte Nachrichte N13 teilt mit, dass die 
Anf ragenachricht AN nicht weitergeleitet wurde. Die zehnte, 
elfte und zwolfte Nachrichten NIO bzw. Nil bzw. N12 werden in 
diesem Falle nicht verschickt. 

3,1 Auswertungen der Datensatze 

In einem nachsten Schritt kann das zweite Netzwerkelement NW2 
diesen zweiten Datensatz DS2 zur Auswertung„ und Steuerung an 
eine Auswerteeinheit AWE, beispielsweise -einem Vergebtihrungs-' 
Center, zusenden. Zusatzlich kann- auch der Datensatz DS an 
die Auswerteeinheit AWE libermittelt werden. 

Mit Hilfe beider Datensatze DS und DS2 kann die Auswerteein- 
heit AWE nun die Nachrichten mit Signalisierungsinf ormatibn, 
also beispielsweise die SIP-Transaktionen, und die Nachrich- 
ten zwischen der Kommunikationseinheit KE und dem zweiten 
Netzwerkelement NW2 miteinander korrelieren. Die Erfassungs- 
identitat EI identif iziert hierbei diejenigen Nachrichten, 
die aufgrund einer bestimmten SIP-Transaktion generiert wur- 
den. Dies ist in der Praxis vorteilhaft, da diejenigen Nach- 
richten zwischen der Kommunikationseinheit KE und dem zweiten 
Netzwerkelement NW2, die durch SIP-Signalisierung angestoBen 
worden sind, anders ausgewertet, wie z.B, vergebuhrt, werden 
konnen als der sonstige Nachrichtenverkehr . Beispielsweise 
konnen Nachrichten mit Nutzdaten ND, die Bilder oder Inter- 
net-Seiten enthalten, mit einem hoheren Tarif belegt werden, 
als diejenigen Nachrichten, die durch die SIP-Signalisierung 
erzeugt wurden. Zusatzlich kann auch abhangig vom Datenvolu- 
men der tibertragenen Nachrichten ein Auswertekriterium abge- 
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leitet werden, Beispielsweise wird bei einer groBeren Uber- 
tragenen Datenmenge der Preis pro ubertragene Datenmengenein- 
heit gunstiger. Daneben kann ein Auswertekriterium anhand der 
Zugriffe auf bestiramte Empf angeradressen generiert. So werden 
beispielsweise bestiinmten Empf angeradressen kostenpf lichtige 
Abrufdienste zugeordnet, z.B. Abfrage einer Telef onnuinmer bei 
einer internetbasierten Telef onauskunft . Aufgrund dieses Aus- 
wahlkriteriums werden die Zugriffe auf diese bestimmten Emp- 
f angeradressen mit einer speziellen Vergebtihrung abgerechnet. 

Zusatzlich kann der mehrmalige Zugriff auf eine Empf angerad- 
resse unterschiedl-ich ausgewertet .werden. Moglichweise ist 
der erstmalige Zugriff auf eine bestiitune Empf angeradr esse ge^ 
bUhrenfrei, wahrend jeder weitere Zugriff kostenpf lichtig 
ist. In^ der Praxis kann es auch zweckmaJSig- sein, die ^Analyse 
der libertragenen Nachrichten von der ubertragenen Nutzeriden- 
titat Nip ^ a:bhangig ,zu machen . Moglicherweise' ist^ eine 'be- 
stiramte Nutzeridentitat NID einer bestimmten Applikation AP 
zugeordnet, die kostenlos benutzt werden kann. 

Neben der Auswertung eines oder mehrere Datensatze zum Zweck 
der Vergebtihrung einer Kommunikationseinheit^ kann die Aus- 
werteeinheit AWE aufgrund dieser Auswertung auch den Nach- 
richtenverkehr innerhalb eines oder mehrerer Netzwerke steu- 
ern und/oder optimieren. Beispielsweise kann so eine Empf an 
geradresse eines Datenservers, der Nutzdaten enthalt, auf dil 
haufig zugegriffen werden und die eine groBe zu ubertragende 
Datenmenge verursachen, herausgef iltert werden. In einem wei- 
teren Schritt kSnnen diese Nutzdaten auf mehrere Datenserver, 
moglicherweise in unterschiedlichen Netzwerken, kopiert wer- 
den, urn so das zu tibertragende Datenvolumen besser zu vertei- 
len. 
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Patent ansprtiche 

1 . Verf ahren zur Steuerung und Auswertung eines Nachrichten- 
verkehrs einer Kommunikationseinheit (KE) durch eine erste 

5 Netzwerkeinheit (NEl) innerhalb eines Mobil funksys terns (MS), 
indem alle Nachrichten des Nachrichtenverkehrs tiber die erste 
Netzwerkeinheit (NEl) geschickt werden, 

indem durch die erste Netzwerkeinheit (NEl) mit Hilfe einer 
Oder mehrerer Nutzungsinf ormationen (NX) der Kommunikations- 

10 einheit (KE) entschieden wird, ob eine oder mehrere Nachrich- 
ten an eine zweite Netzwerkeinheit (NE2) zur Weiterbearbei- 

^ tung weitergeleitet oder abgeblockt werden, 

V und indem durch die erste Netzwerkeinheit (NEl) mit Hilfe ei- 
ner Oder mehrerer Nutzungsinf ormationen (NI) der Kommunikati- 

15 onseinheit (KE) entschieden wird, ob die jeweilige Nachricht 
des Nachrichtenverkehrs durch die erste Netzwerkeinheit (NEl) 
in einer Protokolldatei (PD) protokolliert wlrd. 

2. Verf ahren nach Anspruch 1, 
20 dadurch gekennzeichnet, 

dass eine oder mehrere Nutzungsinf ormationen (NI) von einer 
Datenbank (HSS) abgerufen werden, die die Steuerung und Aus- 
wertung einer oder mehrerer Nachrichten des Nachrichtenver- 
kehrs der Kommunikationseinheit (KE) bestimmen. 




3. Verf ahren nach einem der vorhergehenden Ansprtiche, 



dadurch gekennzeichnet , 

dass ein spezifischer Satz von Nutzungsinf ormationen (NI) je- 
weils einer Nutzeridentitat (NID) zugeordnet wird, wobei der 
30 spezifische Satz von Nutzungsinf ormationen (NI) zur Steuerung 
und Auswertung mindestens einer Nachricht des Nachrichtenver- 
kehrs der Kommunikationseinheit (KE) verwendet wird. 

4, Verf ahren nach Anspruch 3, 
35 dadurch gekennzeichnet, 

dass die Nutzeridentitat (NID) einer Applikation (AP) der 
Kommunikationseinheit (KE) zugeordnet wird. 
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5. Verfahren nach einem der vorhergehenden Ansprache, 
dadurch gekennzeichnet, 

dass in mindestens eine Nut zungs information (NI) zmtiindest 
eine der folgenden Filteranweisungen (FW) eingeftlgt wird: 

- Eine Oder mehrere positive Empf angeradressen (PEA) , die 
far die Kommiinikationseinlieit (KE) adressierbar sind; 

- Eine Oder mehrere negative Empf angeradressen (NEA) , die 
ftir die Kommunikationseinheit (KE) nicht adressierbar 
sind; 

- Eine Oder mehrere zu protokollierende Empf angeradressen 
(XEA) , die von der ersten Netzwerkeinheit (NEl) proto- 
kolliert werden. 

6. _ Verfahren .nach einem der vorhergehenden Ansprtiche,; ■ -■• ... 
dadurch geker!,nz.eichnet/ , , , - • 

dass 2u . protokollierende Nachrichten des Nachrichtenverkehrs 
mit einer -Erfassungsidentitat (NI) gekenozeichne't • werdenV 
7..Verfahren nach einem der vorhergehenden Ansprtiche, 
dadurch gekennzeichnet, 

dass durch die erste Netzwerkeinheit (NEl) die Protokolldatei 
(PD) mit Hilfe einer Protokollnachricht (PDN) zur Auswertung 
an eine Auswerteeinheit (AWE) weitergeleitet wird. 

8. Verfahren nach Anspruch 7, 
dadurch gekennzeichnet, 

dass durch die Auswerteeinheit (AWE) die in der Protokollda- 
tei (PD) protokollierten Nachrichten anhand mindestens einer 
der folgenden Kriterien ausgewertet wird: 

- Nutzdaten (ND) der Nachricht; 

- Empf anger adresse (EA) der Nachricht; 

- Anzahl der Zugriffe auf die Empf angeradresse (EA) ; 

- Datenmenge; 

- Nachrichten, die mit einer bestimmten NutzeridentitSt 
(NID) geschickt wurden; 
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- Nachrichten, die mit einer bestirnmten Erf assungsidenti- 
tat (EI) geschickt wurden, 

- Korrelation von Nachrichten mit Signalisierungsinforma- 
tionen und/oder Nutzdaten (ND)-. • - 

9. Verfahren nach einem der vorhergehenden Ansprtiche, 
dadurch gekennzeichnet, 

dass die Koitaaunikationseinheit (KE) ziiia Austausch von Nach- 
richten autorisiert wird, 

und dass zur Bereitstellung eines sicheren Nachrichtenver- 
kehrs ein 'oder mehrere Schltisselpaare (SCP) verwendet werden. 

10. Verfahren nach einem der vorhergehenden Ansprtiche, 
gekennzeichnet durch die Verwendung in einer Architektur nach 
einem IP-Multimedia Subsystem und mit Hilfe des Session Lni- : 
tiation Protokplls., . , _ . 

11. Verfahren nach einem der vorhergehenden Ansprtiche, S. 
dadurch gekennzeichnet, 

dass die erste Netzwerkeinheit (NEl) durch eine Gruppe von::'-\ 
Netzwerkelementen (NEE) realisiert wird. 

12. Erste Netzwerkeinheit (NEl) zur Steuerung und Auswertung 
eines Nachrichtenverkehrs einer Kommunikationseinheit (KE) 
innerhalb eines Mobilf unksystems (MS), insbesondere nach min- 
destens einem der vorhergehenden Ansprtiche, 

mit einer Empf angseinheit (EE2), mittels der alle Nachrichten 
des Nachrichtenverkehrs der Kommunikationseinheit (KE) emp- 
fangbar sind, 

mit einer Sendeeinheit (SE2) , mittels der alle Nachrichten 
des Nachrichtenverkehrs absendbar sind, 

und mit einer Verarbeitungseinheit (VE2) , mittels der ent- 
scheidbar ist, ob mindestens eine Nachricht des Nachrichten- 
verkehrs aufgrund einer oder mehrerer Nutzungsinf ormationen 
(NI) der Kommunikationseinheit (KE) an eine zweite Netzwerk- 
einheit (NE2) zur Weiterbearbeitung weitergeleitet oder abge- 
blockt wird, u^d mittels der entscheidbar ist, ob niindestens 
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eine Nachricht des Nachrichtenverkehrs aufgrund- einer oder 
mehrerer Nutzungsinf ormationen (NI) der Kommunikationseinheit 
(KE) durch die erste Netzwerkeinheit (NWl) in einer Proto- 
kolldatei (PD) protokolliert wird. 

5 

13 • Kommunikationseinheit (KE) bei der durch eine erste Netz- 
werkeinheit (NEl) der Nachrichtenverkehr innerhalb eines Mo- 
bilfunksystems (MS) gesteuert und ausgewertet wird, insbeson- 
dere nach mindestens einem der vorherigen Ansprache 1 mit 11, 
10 mit einer Empf angseinheit (EEl) , mittels der alle Nachrichten 
des Nachrichtenverkehrs empfangbar sind, und 
mit einer Sendeeinheit (SEl) , mittels der alle Nachrichten 
des Nachrichtenverkehrs absendbar sind. 
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Zusammenf assung 

Verfahren zur Steuerung und Auswertung eines Nachrichtenver- 
kehrs einer Koiniaunikationseinheit durch-"eine erste Netzwerk- 
einheit innerhalb eines Mobil f unksyst ems ^ sowie dazugehSrige 
Kommunikationseinheit und erste Netzwerkeinheit 

Bel einem Verfahren zur Steuerung und Auswertung eines Nach- 
richtenverkehrs einer Kommunikationseinheit (KE) durch eine 
erste Netzwerkeinheit (NEl) innerhalb eines Mobilfunks ystems 

(MS) , bei dem alle Nachrichten des Nachrichtenverkehrs uber 
die erste Netzwerkeinheit (NEl) geschickt werden^ wird sowohl 
durch die erste Netzwerkeinheit (NEl) mit Hilfe einer oder 
mehrerer Nutzungsinf ormationen (NI) der Kommunikationseinheit 

(KE) entschieden, ob eine oder mehrere Nachrichten an eine 
zweite Netzwerkeinheit (NE2) zur Weiterbearbeitung-' weiterge- ' 
leitet Oder abgeblockt werden, als auch durch die erste Netz- 
werkeinheit (NEl) mit Hilfe einer oder mehrerer Nutzungsin- 
f ormationen (NI) der Kommunikationseinheit (KE) festlegt> ob 
die jeweilige Nachricht des Nachrichtenverkehrs durch die 
erste Netzwerkeinheit (NEl) in einer Protokolldatei (PD) pro- 
tokolliert wird. 

. Signif ikante Figur: Figur 1 
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